Američka Agencija za sajberbezbjednost i infrastrukturu (CISA) izdala je hitno upozorenje povodom kritične ranjivosti u popularnoj PHP biblioteci PHPMailer, koja omogućava ubacivanje komandi i koja se aktivno iskorišćava u sajber napadima.
Ova ranjivost, pod oznakom CVE-2016-10033, predstavlja značajan rizik za veb aplikacije širom svijeta koje se oslanjaju na ovu široko korišćenu PHP biblioteku za slanje elektronske pošte. CISA je dodala ovu ranjivost u svoj katalog poznatih eksploatisanih ranjivosti (KEV) 7. jula 2025. godine, a organizacije su obvezne da implementiraju rješenja do 28. jula 2025. godine.
Ranjivost ubacivanja komandi u PHPMailer proizlazi iz neadekvatnog sanitizovanja unosa unutar osnovne funkcionalnosti biblioteke. Preciznije, greška pogađa funkciju `mail()` u skriptu `class.phpmailer.php`, gdje korisnički unijeti podaci nisu pravilno provjereni prije obrade. Ovaj sigurnosni propust omogućava napadačima da ubace zlonamjerne komande koje se izvršavaju u kontekstu aplikacije, što potencijalno može dovesti do potpunog kompromitovanja sistema.
Vulnerabilnost je klasifikovana pod CWE-77 (Neadekvatna neutralizacija posebnih elemenata korištenih u komandi) i CWE-88 (Neadekvatna neutralizacija separatora argumenata u komandi), naglašavajući fundamentalne propuste u validaciji unosa koji omogućavaju napad. Kada pokušaji eksploatacije ne uspiju, mogu rezultirati uslovima odbijanja usluge (denial-of-service), ometajući normalno funkcionisanje aplikacije. Tehnička priroda ove ranjivosti čini je posebno opasnom jer je PHPMailer široko integrisan u sisteme za upravljanje sadržajem, veb aplikacije i softverska rješenja preduzeća.
Kibernetički kriminalci koriste ovu ranjivost za izvršavanje proizvoljnog koda na ugroženim sistemima, iako se detalji trenutnih kampanja napada još uvijek istražuju. Ubacivanje komandi se dešava kada zlonamjerni unos zaobiđe sigurnosne kontrole biblioteke, dozvoljavajući napadačima da pokreću neovlaštene komande na serveru domaćinu. Iako CISA nije potvrdila da li se ova ranjivost koristi u kampanjama ucjenjivačkog softvera, potencijal za takvu eksploataciju ostaje značajna briga s obzirom na široku primjenu PHPMailera.
Eksploatacija ranjivosti može dovesti do povreda podataka, neovlaštenog pristupa osjetljivim informacijama i potpunog preuzimanja servera. Organizacije koje koriste ugrožene verzije PHPMailera suočavaju se sa neposrednim rizicima, posebno one sa aplikacijama izloženim internetu koje obrađuju korisnički unos putem funkcionalnosti elektronske pošte.
**Faktori rizika**
* **Pogođeni proizvodi:** Verzije PHPMailera prije v5.2.18; Veb aplikacije koje koriste ugroženu PHPMailer biblioteku; Sistemi za upravljanje sadržajem koji integrišu PHPMailer.
* **Uticaj:** Potpuno kompromitovanje sistema.
* **Preduslovi za eksploataciju:** Ciljni sistem koji koristi ugroženu verziju PHPMailera; Aplikacija koja prihvata korisnički unos putem funkcionalnosti elektronske pošte; Pristup `mail()` funkciji u `class.phpmailer.php`; Sposobnost isporuke zlonamjernog unosa aplikaciji.
* **CVSS 3.1 Ocjena:** 9.8 (Kritično).
**Strategije ublažavanja**
CISA snažno preporučuje organizacijama da odmah primijene rješenja koja pruža proizvođač i sigurnosne zakrpe. Za implementacije u cloud servisima, administratori bi trebali slijediti smjernice BOD 22-01 kako bi osigurali sveobuhvatnu zaštitu. Organizacije koje nisu u mogućnosti da implementiraju dostupna ublažavanja trebale bi razmotriti prekid upotrebe ugroženih implementacija PHPMailera dok se ne uspostave odgovarajuće sigurnosne mjere.
Ranjivost pogađa verzije PHPMailera prije v5.2.18, te bi organizacije trebale odmah nadograditi na najnoviju sigurnu verziju. Sigurnosni timovi bi trebali dati prioritet ovoj ranjivosti u svojim rasporedima zakrpa i provesti temeljite procjene svih aplikacija koje koriste PHPMailer funkcionalnost kako bi osigurali potpunu sanaciju u svojoj infrastrukturi.
U upozorenju, koje je objavljeno na mreži i putem zvaničnih kanala, CISA naglašava da je ranjivost CVE-2016-10033 u PHPMaileru aktivno eksploatisana. Ova biblioteka, koja se koristi za slanje e-pošte u hiljadama veb aplikacija, omogućava napadačima da ubace zlonamjerne komande u serverski kod. Metodologija napada je relativno jednostavna: napadači šalju posebno kreiranu elektronsku poštu koja sadrži zlonamjerni kod. Kada PHPMailer obradi ovu poštu, neadekvatno sanitizovanje unosa omogućava da se taj zlonamjerni kod izvrši na serveru. Ovaj proces se može opisati kao kada neko unese instrukciju na jeziku koji server razumije, a server je bezrazložno izvrši. Na taj način, napadači mogu dobiti potpunu kontrolu nad serverom, što im omogućava krađu podataka, instalaciju zlonamjernog softvera ili čak korištenje servera za daljnje napade. Iako se ne navode konkretni primjeri kako prevaranti mame korisnike, uobičajeno je da se ovakve ranjivosti eksploatišu kroz veb forme, komentare ili druge interaktivne elemente aplikacija gdje se korisnički unosi obrađuju putem e-pošte.
